12月速遞

中央網信委印發《“十四五”國家信息化規劃》，對我國“十四五”時期信息化發展作出部署安排?！丁笆奈濉眹覙藴鼠w系建設規劃》發布，安全標準被重點提及。2021年工業互聯網安全標準體系正式發布，對促進網絡安全產業高質量發展具有重要支撐作用?！吨袊I信息安全產業發展白皮書(2020-2021)》、《工業互聯網流量安全分析白皮書(2021)》相繼發布。美國聯邦貿易委員會修訂其數據保護政策。鑒于俄羅斯對網絡戰的極度擔憂，烏克蘭總統頒布信息安全戰略。

中央網信委印發《“十四五”國家信息化規劃》

12月27日，中央網絡安全和信息化委員會印發《“十四五”國家信息化規劃》?！兑巹潯吩俅螐娬{了安全與發展的辯證關系以及網絡安全關口前移、防患于未然的發展理念;強調了以網絡安全自主防御能力為主的網絡安全保障體系和能力建設。明確了關鍵信息基礎設施安全、網絡安全和數據安全的重點工程和重大任務。確立了網絡安全做為新興數字產業的戰略定位。強化了對數據安全保障能力建設的要求。

資料來源：http://www.cac.gov.cn/2021-12/27/c_1642205312337636.htm

《“十四五”國家標準體系建設規劃》發布安全標準被重點提及

國家標準化管理委員會會同有關部門組織編制了《“十四五”推動高質量發展的國家標準體系建設規劃》?！兑巹潯返?4點指出，要建設網絡安全標準。推動關鍵信息基礎設施安全保護、數據安全、個人信息保護、數據出境安全管理、網絡安全審查、網絡空間可信身份、網絡產品和服務、供應鏈安全、5G安全、智慧城市安全、物聯網安全、工業互聯網安全、車聯網安全、人工智能安全等重點領域國家標準研制，完善網絡安全標準體系，支撐網絡強國建設。

資料來源：https://gkml.samr.gov.cn/nsjg/bzjss/202112/t20211214_338077.html

2021年工業互聯網安全標準體系正式發布

12月9日，在工業和信息化部網絡安全管理局指導下，工業信息安全產業發展聯盟、工業互聯網產業聯盟、工業和信息化部商用密碼應用推進標準工作組共同發布《工業互聯網安全標準體系(2021年)》。工業互聯網安全標準體系包括分類分級安全防護、安全管理、安全應用服務等3個類別、16個細分領域以及76個具體方向，對于發揮標準規范引領作用、推動建立網絡安全分類分級管理制度、強化工業互聯網企業安全防護能力，促進網絡安全產業高質量發展具有重要支撐作用。

資料來源：https://mp.weixin.qq.com/s/EAtOE5CrjUI2CPbW1Y6gvA

《中國工業信息安全產業發展白皮書(2020-2021)》發布

《中國工業信息安全產業發展白皮書(2020-2021)》發布。白皮書預計，2021年我國工業信息安全市場增長率將達31.83%，市場整體規模將增長至167.01億元。白皮書顯示，2020年我國工業信息安全產業規模在疫情背景下逆勢上揚達126.69億元，增長率為27.02%。其中，工業信息安全產品類市場規模達43.97億元，占市場總額的81.3%,全服務類市場規模為10.11億元，占比達18.7%。

資料來源：http://finance.people.com.cn/n1/2021/1208/c1004-32302844.html

印度將推出國家網絡安全戰略

印度的新網絡安全戰略即將推出，新網絡安全戰略的主要交付成果之一是為不同實體確定和成立監管機構，例如計算機應急響應小組CERT-In、網絡犯罪協調中心、國防網絡局和國家關鍵信息基礎設施保護中心NCIIPC。

資料來源：https://www.govinfosecurity.com/indias-national-cybersecurity-strategy-awaiting-approval-a-17829?&web_view=true

國家工信安全中心發布《工業互聯網流量安全分析白皮書(2021)》

在2021年中國工業信息安全大會上，國家工業信息安全發展研究中心發布了《工業互聯網流量安全分析白皮書》?！栋灼丰槍I互聯網流量分布廣、采樣位置分散、格式多元異構、協議私有且繁雜等方面的特性，面向當前工業互聯網流量安全分析面臨的挑戰，提出工業互聯網流量安全分析技術框架，歸納工業互聯網流量安全分析關鍵技術，梳理工業互聯網流量安全分析典型應用與部署場景。

資料來源：https://www.secrss.com/articles/37703

美國聯邦貿易委員會修訂其數據保護政策

美國聯邦貿易委員會(FTC)已修訂其數據保護政策，對處理客戶信息的金融機構實施更嚴格的規定。此次修訂是該規則歷史上的第一次，旨在解決近年來困擾金融服務行業的信息安全復雜性顯著增加和破壞性數據泄露的無情鏈。添加的新要求包括，金融機構必須履行例如書面風險評估、滲透測試和漏洞評估以及員工培訓的義務。

資料來源：https://portswigger.net/daily-swig/ftc-implements-tougher-data-protection-rules-to-safeguard-customer-information?&web_view=true

烏克蘭總統頒布信息安全戰略

12月28日，烏克蘭總統已執行烏克蘭國家安全與國防委員會2021年10月15日“關于信息安全戰略”的決定，該法令自發布之日起生效。該文件指出，俄羅斯的信息政策不僅對烏克蘭構成威脅。俄羅斯開展的特別信息行動針對的是關鍵的民主機構(包括選舉)，俄羅斯的特別服務部門則試圖激化烏克蘭和其他民主國家的內部沖突。

資料來源：https://www.ukrinform.net/rubric-polytics/3376991-president-enacts-ukraines-information-security-strategy.html?&web_view=true

美國聯邦調查局(FBI)就針對古巴關鍵基礎設施的勒索軟件攻擊發出警告。北美天然氣供應商巨頭Superior Plus遭勒索軟件攻擊，再次為關鍵基礎設施敲響警鐘。澳大利亞電力供應商CS Energy遭勒索軟件攻擊，但發電并未受到影響?？屏_拉多電力公司卻沒有這么幸運，網絡攻擊對其系統造成了嚴重破壞。微軟研究顯示：對物聯網/OT設備的攻擊數量不斷增加。比利時國防部確認遭受利用Log4j漏洞的網絡攻擊。

美國聯邦調查局警告古巴勒索軟件攻擊關鍵基礎設施

美國聯邦調查局(FBI)就針對古巴關鍵基礎設施的勒索軟件攻擊發出警告。FBI稱，截至2021年11月，古巴勒索軟件背后的團伙設法危害了美國政府、醫療保健、金融、信息技術和制造部門的至少49個實體。

資料來源：https://www.securityweek.com/fbi-warns-cuba-ransomware-attacks-critical-infrastructure

北美天然氣供應商巨頭Superior Plus遭勒索軟件攻擊

北美天然氣供應商巨頭Superior Plus證實，它在12月12日發現了勒索軟件攻擊，破壞了其計算機系統。Superior Plus表示已采取措施保護其系統，并聘請獨立的網絡安全專家來減輕勒索軟件攻擊對其數據和運營的影響，并確定客戶安全或安全以及個人數據沒有受到影響。

資料來源：https://www.cpomagazine.com/cyber-security/natural-gas-supplier-superior-plus-suffers-a-ransomware-attack-similar-to-colonial-pipelines/

澳大利亞電力供應商CS Energy遭勒索軟件攻擊

12月9日，澳大利亞電力供應商 CS Energy 遭到勒索軟件攻擊，但該公司表示發電并未受到影響，攻擊于11月27日被發現。勒索軟件團伙Conti聲稱對此次澳大利亞電力公司 CS Energy的攻擊負責。CS Energy 表示，勒索軟件破壞了其公司網絡上的設備，該公司正在努力恢復受影響的系統。

資料來源：https://www.securityweek.com/australian-electricity-provider-cs-energy-hit-ransomware

網絡攻擊對科羅拉多電力公司造成嚴重破壞

科羅拉多州的電力合作社Delta-Montrose電力協會(DMEA)在11月7日發現其內部網絡遭到破壞，網絡攻擊導致其電話、電子郵件、賬單和客戶帳戶系統中斷，該公司還確認遭到軟件攻擊，內部文件已“損壞”。DMEA表示其90%的內部控制和系統被破壞，大部分可追溯到20多年的歷史數據被泄露。

資料來源：https://www.securityweek.com/cyberattack-causes-significant-disruption-colorado-electric-utility

微軟研究顯示：對物聯網/OT設備的攻擊數量不斷增加

根據微軟的一項新研究，對物聯網和OT設備的攻擊數量正在增加。參與調查的600多名受訪者中有44%表示，他們的組織在過去兩年中經歷了涉及IoT或OT設備的網絡事件。39%的人表示這樣的設備是攻擊的目標，35%的人表示該設備被用來進行更廣泛的攻擊。

資料來源：https://www.microsoft.com/en-us/download/details.aspx?id=103698

比利時國防部確認遭受利用Log4j漏洞的網絡攻擊

比利時國防部發言人表示，國防部在12月16日發現其計算機網絡受到攻擊，該部已采取措施隔離受影響的網絡區域。并且證實這次攻擊是成功利用了log4j2漏洞，部分計算機網絡暫時無法使用，處于癱瘓狀態。比利時政府暫未將此次襲擊歸咎于任何團體或民族國家。

資料來源：https://www.vrt.be/vrtnws/nl/2021/12/20/defensie-slachtoffer-zware-cyberaanval-deel-netwerk-al-dagen-pl/

myPROHMI/SCADA產品存在嚴重漏洞，在全球范圍內用于能源、食品和農業、水和交通系統部門的該產品受影響。步行式金屬探測器中的漏洞可能允許攻擊者操縱安全設備，給用戶帶來安全風險。施耐德電氣EVlink電動汽車充電樁存在嚴重漏洞，面臨被攻擊的風險。谷歌發現超過35,000個Java包受Log4j漏洞影響，占比8%。SonicWall遠程訪問設備、Kaseya Unitrends備份設備存在嚴重漏洞，均帶來了遠程代碼執行的風險。僵尸網絡Moobot盯上?？低曉O備漏洞。DataVault加密軟件中的漏洞影響多個存儲設備。

myPROHMI/SCADA產品存在嚴重漏洞

研究人員在捷克工業自動化公司mySCADA的myPRO產品中發現了12個漏洞。myPRO是一套HMI/SCADA系統，專為可視化和控制工業過程而設計。mySCADA在8.20.0版本修復了四個高危漏洞，可利用這些漏洞獲取敏感信息或遠程上傳任意文件而無需身份驗證。8.22.0版修復了八個漏洞，有七個是嚴重漏洞。其中一個嚴重漏洞可用于繞過身份驗證，一個與后門帳戶有關，而其余漏洞可被遠程、未經身份驗證的攻擊者利用以進行操作系統命令注入。

資料來源：https://www.securityweek.com/several-critical-vulnerabilities-found-mypro-hmiscada-product?&web_view=true

步行式金屬探測器中的漏洞可能允許攻擊者操縱安全設備

CiscoTalos最近在Garrett Metal Detectors的設備中發現了9個漏洞，這些漏洞可能允許遠程攻擊者繞過身份驗證要求、操縱金屬探測器配置，甚至在設備上執行任意代碼。這些漏洞特別存在于Garretti C模塊中，該模塊為安全檢查站常用的Garrett PD6500i或Garrett MZ6100步行式金屬探測器提供網絡連接。

資料來源：https://blog.talosintelligence.com/2021/12/vuln-spotlight-garrett-metal-detector.html?&web_view=true

施耐德電氣EVlink電動汽車充電樁存在嚴重漏洞

施耐德電氣已修復了7個使其EVlink電動汽車充電站容易受到遠程黑客攻擊的新漏洞，有1個嚴重漏洞和6個高危漏洞，包括跨站請求偽造(CSRF)和跨站腳本(XSS)漏洞，其中最嚴重的是一個服務器端請求偽造(SSRF)漏洞，CVSS評分9.3。施耐德警告稱，這些漏洞可能會導致“充電站的設置和賬戶遭到篡改和泄露，可能導致拒絕服務攻擊。

資料來源：https://www.securityweek.com/new-flaws-expose-evlink-electric-vehicle-charging-stations-remote-hacking

谷歌：超過35,000個Java包受Log4j漏洞影響

谷歌開源團隊掃描了Maven中央Java包存儲庫，發現35,863個包(占總數的8%)正在使用易受Log4Shell漏洞和CVE-2021-4504 6RCE攻擊的Apache Log4j庫版本。專家指出，直接依賴項約占受影響軟件包的7,000個，大多數受影響的工件都與間接依賴相關。并確定只有48%受漏洞影響的工件已得到修復。

資料來源：https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html

SonicWall遠程訪問設備存在嚴重漏洞

SonicWall敦促其客戶盡快解決影響其安全移動訪問(SMA)100系列設備的8個已修復的漏洞。其中最嚴重的是CVE-2021-20038，CVSS評分9.8，未經身份驗證的攻擊者可利用其導致基于堆棧的緩沖區溢出并在易受攻擊的設備上實現代碼執行。

資料來源：https://www.securityweek.com/sonicwall-customers-warned-high-risk-flaws-remote-access-appliances

KaseyaUnitrends備份設備中存在嚴重漏洞

Kaseya修復了其Unitrends備份設備中的12個漏洞，包括兩個嚴重漏洞，每個漏洞都會帶來遠程代碼執行風險。其中未經身份驗證的SQL注入漏洞(跟蹤為CVE-2021-43035，CVSS評分9.8)使潛在攻擊者有可能在Postgres超級用戶帳戶下注入任意SQL查詢。

資料來源：https://portswigger.net/daily-swig/critical-web-security-flaws-in-kaseya-unitrends-nbsp-backup-appliances-remediated-after-researchers-disclosure?&web_view=true

思科修復Catalyst PON企業交換機的嚴重漏洞

思科已修復Catalyst無源光網絡(PON)系列交換機光網絡終端和策略套件中的嚴重漏洞。其中最嚴重的漏洞是CVE-2021-34795和CVE-2021-40113，CVSS評分均為10.0，允許未經身份驗證的遠程攻擊者使用具有默認靜態密碼的調試帳戶登錄受影響的設備，或執行命令注入攻擊。

資料來源：https://www.securityweek.com/cisco-plugs-critical-holes-catalyst-pon-enterprise-switches

僵尸網絡Moobot盯上?？低曉O備漏洞

基于Mirai的Moobot僵尸網絡通過利用?？低暜a品網絡服務器中的嚴重漏洞迅速傳播，影響?？低暤?0多個攝像機和NVR，攻擊者可利用該漏洞獲得root訪問權限并完全接管易受攻擊的設備，而無需任何形式的用戶交互。Fortinet警告說，攻擊者正試圖利用該漏洞來部署各種有效載荷，使他們能夠探測設備或提取敏感數據。

資料來源：https://securityaffairs.co/wordpress/125409/malware/moobot-botnet-hikvision.html

DataVault加密軟件中的漏洞影響多個存儲設備

由ENC Security制造并被多家供應商使用的DataVault加密軟件受到幾個密鑰推導函數問題的影響。攻擊者可以利用該漏洞獲取用戶密碼。DataVault是一種保護用戶數據的高級加密軟件，它為多個系統提供全面的軍用級數據保護和安全功能。包括WD、Sony和Lexar在內的多個供應商都在使用DataVault軟件。

資料來源：https://securityaffairs.co/wordpress/126166/hacking/datavault-encryption-software-flaws.html

針對鋪天蓋地的Apache Log4j漏洞，CISA發布掃描器以識別受其影響的Web服務。微軟將Secured-core概念擴展到服務器，采用虛擬機監控程序保護的代碼完整性來抵御勒索軟件等威脅。

CISA發布掃描器以識別受Apache Log4j漏洞影響的Web服務

美國網絡安全和基礎設施安全局(CISA)宣布發布一款開源掃描器，用于識別受Apache Log4j遠程代碼執行漏洞影響的Web服務。以下是log4j-scanner中實現的功能列表：支持URL列表。對60多個HTTP請求標頭進行模糊測試。對HTTPPOST數據參數進行模糊測試。對JSON數據參數進行模糊測試。支持用于漏洞發現和驗證的DNS回調。WAF繞過有效載荷。

資料來源：https://securityaffairs.co/wordpress/125892/security/cisa-scanner-log4j-flaws.html

微軟將Secured-core概念擴展到服務器

微軟已將其在2019年應用于PC的Secured-core概念擴展到服務器、Windows Server和Azure Stack HCI。Secured-core認為微軟與硬件制造商合作，以確保他們的產品包括TPM2.0模塊，在BIOS中默認啟用安全啟動，并使用動態信任根進行測量技術，允許使用英特爾的可信執行技術(TXT)和AMD的安全虛擬機(SVM)。一旦這些元素到位，微軟相信硬件更難受到基于固件的攻擊，并且不太容易運行未經驗證的代碼。

資料來源：https://www.theregister.com/2021/12/08/microsoft_extends_securedcore_concept_to_servers/?&web_view=true